Jaa


Domínios aceitos, espaços de endereço SMTP compartilhado e filtragem por destinatário

Artigo original publicado na sexta-feira, 7 de outubro de 2011

Aceitar email de entrada para um domínio DNS e retransmiti-lo para hosts de email fora da organização do Exchange era um processo simples no Exchange 2003, apesar de necessitar de alguma explicação, que foi discutida nos seguintes artigos:

  • KB 321721 Como compartilhar um espaço de endereço SMTP no Exchange 2000 Server ou no Exchange Server 2003
  • KB 315511 XADM: Como configurar o domínio SMTP centralizado compartilhando no Exchange 2000 Server para empresas independentes

O Exchange 2003 usava Políticas de Destinatários para definir os domínios para os quais seus servidores do Exchange aceitarão email e gerará endereços de email para seus destinatários usando esses domínios.

Além disso, as Políticas de Destinatários também permitiam aplicar as configurações do Gerenciador de Caixa de Correio, o Exchange 2003 equivalente do Messaging Retention Management (MRM).

Domínios aceitos e diretivas de endereço de email

No Exchange 2007, a funcionalidade Política de Destinatário foi dividida em dois componentes – Domínios aceitos e Diretivas de endereço de email. Como os nomes sugerem, os Domínios aceitos são usados para definir os domínios SMTP para os quais seus servidores de transporte aceitarão email, e as Diretivas de endereço de email (EAPs) são usadas -para gerar endereços de email para seus destinatários. As EAPs utilizam Domínios aceitos – você deve ter um Domínio aceito para conseguir criar endereços de email usando esse domínio. Por exemplo, se desejar que seus destinatários tenham endereços de email dos domínios contoso.com e tailspintoys.com, primeiro é preciso criar um Domínio aceito para cada um desses domínios e criar uma diretiva de endereço de email para definir o formato dos endereços de email gerados automaticamente – por exemplo, firstname.lastname@contoso.com.

Enquanto o Exchange 2003 permitia utilizar filtros LDAP para aplicar a Política de destinatário, o Exchange 2010 e o 2007 filtram os destinatários usando a sintaxe de filtragem OPATH para aplicar EAPs. Uma série de filtros pré-configurados está incluída na interface da Diretiva de endereço de email no EMC ou como parâmetros no Shell, tornando bastante fácil usar algumas das propriedades do destinatário mais comuns, tais como o nome da empresa, o departamento, o estado e atributos personalizados 1-15 para aplicar diretivas. Os filtros pré-configurados atendem às necessidades da maioria das implementações do Exchange. Para filtros mais complexos, você pode criar um filtro de destinatário personalizado usando o parâmetro RecipientFilter do Shell. Um filtro de destinatário personalizado permite utilizar uma longa lista de propriedades do destinatário chamada propriedades que podem ser filtradas, em um filtro de destinatário. Você pode encontrar uma lista de propriedades que podem ser filtradas em Propriedades que podem ser filtradas para o parâmetro RecipientFilter no Exchange 2007 SP1 e SP2.

Domínios aceitos e compartilhamento de espaços de endereço SMTP

A separação dos objetos do nome de domínio e diretiva de endereço de email torna o compartilhamento de espaços do endereço SMTP muito mais fácil. Você pode criar os três tipos a seguir de domínios aceitos no Exchange 2010 e no Exchange 2007:

  1. Domínio autoritativo: um domínio autoritativo significa que a Organização do Exchange é autoritativa para o domínio e sabe sobre todos os seus destinatários. Em geral, todos os destinatários em um domínio autoritativo são destinatários do Exchange – caixas de correio, grupos de distribuição, pastas públicas habilitadas para email. Os destinatários também podem estar em outros sistemas de email, mas o Exchange deve ter um objeto de contato habilitado para email (MailContact) ou um usuário habilitado para email (MailUser) para eles. Embora contatos unitários ou usuários de email possam ser criados manualmente, em geral, eles são criados usando a sincronização de diretórios nos seguintes cenários, por exemplo:

    • Outra unidade de negócios que tem sua própria floreta do Active Directory
    • Outro sistema/diretório de mensagens em uso dentro da mesma organização

    Depois de replicado, o Exchange sabe como distribuir email para esses destinatários.

    Como o Exchange é autoritativo para o domínio, ele deve gerar uma notificação de falha na entrega (NDR) para mensagens que ele aceita, mas pode não distribuir por qualquer razão, incluindo destinatários que não encontram o Active Directory. Você pode usar Filtragem por destinatário e silenciosamente cancelar e-mail para destinatários inexistentes.

  2. Domínios de retransmissão externos: se os seus servidores do Exchange precisarem aceitar email de um domínio que não tem nenhum destinatário e encaminhar todos esses emails para outros host de email, você poderá criar um domínio de retransmissão externo. Nesse caso, o Exchange não tem conhecimento dos destinatários e não pode realizar ações, tais como executar uma filtragem por destinatário e cancelar email para destinatários que não existem. Aceitar email de entrada através de uma infraestrutura de mensagem central é um cenário comum. Como o Exchange não é autoritativo para o domínio, ele é o único responsável pelo encaminhamento do email para o próximo salto para aquele domínio, que deve gerar alguma NDRs quando a entrega falhar.

    Para encaminhar um email para um domínio de retransmissão externo para enviar email para hosts que são autoritativos para o domínio (ou o próximo salto, que pode retransmiti-lo), você deve criar um Conector de Envio para esse domínio e especificar o próximo salto como o host inteligente. Nas topologias com um servidor de Transporte de Borda, como email, é retransmitido pelos servidores de Transporte de Borda e Transporte de Hub nunca precisam manipular mensagens.

  3. Domínios de retransmissão internos: domínios de retransmissão internos atendem a uma necessidade importante, que exigem uma configuração bastante envolvida no Exchange 2003. Eles permitem aceitar email para um domínio onde alguns destinatários podem existir na sua organização do Exchange e alguns destinatários podem estar em outro sistema de mensagem. O Exchange pode saber sobre os destinatários em outro sistema de mensagem usando os contatos ou usuários de email. Ou ele pode distribuir todas as mensagens que podem ser entregues localmente (em qualquer servidor Exchange na organização) e retransmitir mensagens para destinatários desconhecidos para outro host de email usando um Conector de Envio para o mesmo domínio. Como o Exchange não é autoritativo para esse domínio, ele não gera NDRs para destinatários pelos quais não é responsável.

    Domínios de retransmissão internos e conectores de envio
    Uma consideração importante ao usar um domínio de retransmissão interno é que o Conector de Envio que você utiliza para enviar email para destinatários desconhecidos não pode ser originado em um servidor de Transporte de Borda, porque esse servidor já foi instruído para aceitar todos os emails desse domínio e encaminhá-los para os servidores de Transporte de Hub. Em vez disso, o Conector de Envio deve ser originado para os servidores de Transporte de Hub e você deve especificar outro host de email como um host inteligente.


Figura 1: Criando um domínio aceito no EMC

Mais detalhes em Noções básicas dos domínios aceitos.

Domínios aceitos e filtragem de destinatário

Ao criar Domínios Aceitos, uma consideração importante é a Filtragem de Destinatários. Se você uma filtros anti-spam internos do Exchange, você pode filtrar destinatários que não existem na sua organização usando a Filtragem de Destinatários. Isso permite remover uma grande quantidade de parte de dados de spam (no gateway se você implementou um servidor de Transporte de Borda com EdgeSync). Além disso, também significa que seus servidores não estarão processando email para destinatários não existentes e gerando uma NDR para o remetente, que também pode ser um endereço não existente ou endereços válidos falsificados por um remetente de spam.

Se você estiver em uma topologia com um servidor de Transporte de Borda e tiver o EdgeSync configurado, as informações sobre o destinatário são sincronizadas a partir de um servidor de Transporte de Hub para o servidor de Transporte de Borda, que pode usar essas informações para remover email dos destinatários que não existem na sua organização. Se você não tem um servidor de Transporte de Borda implementado, poderá instalar agentes anti-spam em um servidor de Transporte de Hub e habilitar a Filtragem de Destinatários.

Muitas soluções de segurança SMTP de terceiros que foram implementadas tipicamente em redes de perímetro também podem procurar destinatários no Active Directory, embora elas possam exigir a conectividade LDAP com um Active Directory DC/GC, que se encontra na sua rede interna, ou algum outro significado meio para replicar informações do destinatário. Relativamente, a comunicação do EdgeSync é externa (Secure LDAP) a partir dos servidores de Transporte de Hub para o servidor de Transporte de Borda e não exige que você abra nenhuma porta no seu firewall interno para tráfego de entrada.

Como a Filtragem de Destinatários trata os destinatários de tipos diferentes de domínios aceitos? Para domínios autoritativos, onde o Exchange sabe sobre todos os destinatários, a Filtragem de Destinatários remove o email dos destinatários que não existem no Active Directory. Para domínios de retransmissão externos, o Exchange não sabe sobre nenhum destinatário, então essa filtragem não é possível. Os domínios de retransmissão internos são uma área cinza – o Exchange pode ou não saber sobre os destinatários.

Você pode configurar se a Filtragem de Destinatários é permitira para um Domínio Aceito configurando sua propriedade AddressBookEnabled. Os valores padrões para cada tipo de domínio aceito estão na tabela a seguir:

Tipo de domínio aceito AddressBookEnabled
Autoritativo verdadeiro
Retransmissão externa falsa
Retransmissão interna falsa

Para domínios de retransmissão externos, ela é definida como falsa por padrão – o que significa que o Exchange (ou seja, o agente de Filtragem de Destinatários, se habilitado e configurado para remover email dos destinatários que não existem no Active Directory) não verificará se o destinatário existe. Se você estiver utilizando um mecanismo para replicar destinatários de outra organização do Exchange ou do sistema de mensagens não Exchange para o Active Directory, você poderá definir a propriedade como verdadeira e fazer com que o Filtro de Destinatários verifique os destinatários válidos.

Set-AcceptedDomain foo.com –AddressBookEnabled $true

Bharat Suneja

Esta é uma postagem localizada do blog. Encontre o artigo original em Accepted Domains, Shared SMTP Address Spaces and Recipient Filtering